1. VALOR DE NEGOCIOS DE LA SEGURIDAD Y EL CONTROL
1.1. Requerimientos legales y regulatorios para la administración de registros digitales
1.1.1. Si usted trabaja en la industria de servicios médicos, su firma tendrá que cumplir conla Ley de Responsabilidad y Portabilidad de los Seguros Médicos (HIPAA) de 1996.
1.1.2. Si usted trabaja en una empresa que proporciona servicios financieros, su firma tendrá que cumplir con la Ley de Modernización de Servicios Financieros de 1999, mejor conocida como Ley Gramm-Leach-Bliley
1.1.3. Si usted trabaja en una compañía que cotiza en la bolsa, su compañía tendrá quecumplir con la Ley de Reforma de Contabilidad Pública de Compañías y Protección al Inversionista de 2002, mejor conocida como Ley Sarbanes-Oxley.
1.2. Evidencia electrónica y análisis forense de sistemas
1.2.1. El análisis forense de sistemas, que viene siendo el proceso de recolectar, examinar, autenticar, preservar y analizar de manera científica los datos retenidos o recuperados de medios de almacenamiento de computadora, de tal forma que la información se pueda utilizar como evidencia en un juzgado. Se encarga de los siguientes problemas:
1.2.1.1. Recuperar datos de las computadoras y preservar al mismo tiempo la integridad evidencial
1.2.1.2. Almacenar y manejar con seguridad los datos electrónicos recuperados
1.2.1.3. Encontrar información importante en un gran volumen de datos electrónicos
1.2.1.4. Presentar la información a un juzgado
2. ESTABLECIMIENTO DE UN MARCO DE TRABAJO PARA LA SEGURIDAD Y EL CONTROL
2.1. Controles de los sistemas de información
2.1.1. Controles de software
2.1.1.1. Monitorean el uso del software de sistemas y evitan el acceso no autorizado de los programas de software, el software de sistemas y los programas de computadora.
2.1.2. Controles de hardware
2.1.2.1. Aseguran que el hardware de computadora sea físicamente seguro y verifican las fallas del equipo.
2.1.3. Controles de operaciones de computadora
2.1.3.1. Supervisan el trabajo del departamento de computadoras para asegurar que los procedimientos programados se apliquen de manera consistente y correcta al almacenamiento y procesamiento de los datos.
2.1.4. Controles de seguridad de datos
2.1.4.1. Aseguran que los archivos de datos de negocios valiosos que se encuentren en disco o cinta no estén sujetos a un acceso sin autorización, no se modifiquen ni se destruyan mientras se encuentran en uso o almacenados.
2.1.5. Controles de implementación
2.1.6. Controles administrativos
2.1.6.1. Auditan el proceso de desarrollo de sistemas en varios puntos para asegurar que el proceso se controle y administre de manera apropiada.
2.1.6.2. Formalizan estándares, reglas, procedimientos y disciplinas de control para asegurar que los controles generales y de aplicación
2.2. Planificación de recuperación de desastres y planificación de la continuidad de negocios
2.2.1. La planificación de continuidad de negocios se enfoca en la forma en que la compañía puede restaurar las operaciones de negocios después de que ocurre un desastre. El plan de continuidad de negocios identifica los procesos de negocios críticos y determina los planes de acción para manejar las funciones de misión crítica en caso de que fallen los sistemas.
2.3. La función de la auditoría
2.3.1. Una auditoría de MIS examina el entorno de seguridad general de la firma, además de controlar el gobierno de los sistemas de información individuales.
2.3.2. El auditor debe rastrear el flujo de transacciones de ejemplo a través del sistema y realizar pruebas, mediante el uso (si es apropiado) de software de auditoría automatizado.
2.4. Política de seguridad
2.4.1. Una políticade seguridad consiste de enunciados que clasifican los riesgos de información, identifican los objetivos de seguridad aceptables y también los mecanismos para lograr estos objetivos.
2.4.1.1. política de uso aceptable (AUP) define los usos admisibles de los recursos de información y el equipo de cómputo
2.4.1.2. La administración de identidad consiste en los procesos de negocios y las herramientas de software para identificar a los usuarios válidos de un sistema
3. VULNERABILIDAD Y ABUSO DE LOS SISTEMAS
3.1. Por qué son vulnerables los sistemas
3.1.1. Vulnerabilidades de Internet
3.1.1.1. Cuando se almacenan grandes cantidades de datos en forma electrónica, son vulnerables a muchos más tipos de amenazas que cuando existían en forma manual. Los sistemas de información se interconectan en distintas ubicaciones a través de las redes de comunicaciones. El potencial de acceso sin autorización, abuso o fraude no se limita a una sola ubicación, sino que puede ocurrir en cualquier punto de acceso en la red.
3.1.1.1.1. Las redes públicas grandes, como Internet, son más vulnerables que las internas, ya que están abiertas para casi cualquiera. Internet es tan grande que, cuando ocurren abusos, pueden tener un impacto mucho muy amplio. Cuando Internet se vuelve parte de la red corporativa, los sistemas de información de la organización son aún más vulnerables a las acciones de personas externas.
3.1.2. Software Malicioso
3.1.2.1. Virus
3.1.2.2. Gusanos
3.1.2.3. Troyanos
3.1.2.4. Spyware
3.2. Los hackers y los delitos computacionales
3.2.1. Spoofing y Sniffing
3.2.2. Ataques de negación de servicio
3.2.3. Delitos por computadora
3.2.3.1. Violar la confidencialidad de los datos computarizados protegidos
3.2.3.2. Acceder a un sistema computacional sin autorización
3.2.3.3. Acceder de manera intencional a una computadora protegida para cometer fraude
3.2.3.4. Acceder de manera intencional una computadora protegida y causar daño, ya sea por negligencia o de forma deliberada
3.2.3.5. Transmitir conscientemente un programa, código de programa o comando que provoque daños intencionales a una computadora protegida
3.2.3.6. Amenazar con provocar daños a una computadora protegida
3.2.4. Robo de identidad
3.2.5. Fraude del clic
3.2.6. Amenazas globales: ciberterrorismo y ciberguerra
3.3. Amenazas Internas
3.3.1. LOS EMPLEADOS
3.3.1.1. Los estudios han encontrado que la falta de conocimiento de los usuarios es la principal causa de fugas de seguridad en las redes. Muchos empleados olvidan sus contraseñas para acceder a los sistemas computacionales o permiten que sus compañeros de trabajo las utilicen, lo cual compromete al sistema. Algunas veces los intrusos maliciosos que buscan acceder al sistema engañan a los empleados para que revelen sus contraseñas al pretender ser miembros legítimos de la compañía que necesitan información.A esta práctica se le denomina ingeniería social.
3.4. VULNERABILIDAD DEL SOFTWARE
3.4.1. Un problema importante con el software es la presencia de bugs ocultos, o defectos de código del programa. Los estudios han demostrado que es casi imposible eliminar todos los bugs de programas grandes. La principal fuente de los bugs es la complejidad del código de toma de decisiones. Un programa relativamente pequeño de varios cientos de líneas contiene decenas de decisiones que conducen a cientos, o hasta miles de rutas.
4. TECNOLOGÍAS Y HERRAMIENTAS PARA PROTEGER LOS RECURSOS DE INFORMACIÓN
4.1. Administración de la identidad y la autenticación
4.1.1. LISTA DE EJEMPLO DE UN AUDITOR SOBRE LAS DEBILIDADES DE LOS CONTROLES:
4.1.1.1. Naturaleza de la debilidad y el impacto
4.1.1.2. Contraseñas faltantes en cuentas de usuarios
4.1.1.3. La red está configurada para permitir compartir ciertos archivos del sistema
4.1.1.4. software pueden actualizar los programas de producción sin la aprobación final del grupo de estándares y controles
4.1.2. Firewalls
4.1.3. Sistemas de detección de intrusos
4.1.4. Software antivirus y antispyware
4.1.5. Sistemas de administración unificada de amenazas
4.1.6. Seguridad en las redes inalámbricas
4.1.6.1. WEP
4.1.6.2. SSID
4.1.6.3. VPN
4.1.6.4. Wi-Fi protegido 2 o WPA2
4.2. CIFRADO E INFRAESTRUCTURA DE CLAVE PÚBLICA
4.2.1. El cifrado es el proceso de transformar texto o datos simples en texto cifrado que no pueda leer nadie más que el emisor y el receptor deseado. Los dos métodos de cifrado son:
4.2.1.1. SSL
4.2.1.2. S-HTTP
4.3. Aseguramiento de la disponibilidad del sistema
4.3.1. Certificados digitales
4.3.2. Procesamiento de transacciones en línea
4.3.3. Sistemas de computadora tolerantes a fallas
4.3.4. Computación de alta disponibilidad
4.3.5. Computación orientada a la recuperación
4.3.6. Control del tráfico de red: inspección profunda de paquetes (DPI)
4.3.7. Subcontratación (outsourcing) de la seguridad
4.4. Aspectos de seguridad para la computación en la nube y la plataforma digital móvil
4.4.1. Seguridad en la nube
4.4.1.1. Cuando el procesamiento se lleva a cabo en la nube, la rendición de cuentas y la responsabilidad de proteger los datos confidenciales aún recae en la compañía que posee esos datos.
4.4.2. Seguridad en las plataformas móviles
4.4.2.1. Si los dispositivos móviles están realizando muchas de las funciones de las computadoras, necesitan estar protegidos de igual forma que las computadoras de escritorio y laptops contra malware, robo, pérdida accidental, acceso sin autorización y hackers. Los dispositivos móviles que acceden a los sistemas y datos corporativos requieren protección especial.
4.5. Aseguramiento de la calidad del software
4.5.1. La métrica de software consiste en las evaluaciones de los objetivos del sistema en forma de medidas cuantificadas.
4.5.2. También es posible usar recorridos de código para revisar el código del programa. Sin embargo, para probar el código es necesario ejecutarlo en la computadora. Cuando se descubren errores, se encuentra el origen de los mismos y se elimina por medio de un proceso conocido como depuración.
4.6. Evaluación del riesgo
4.6.1. Una evaluación del riesgo determina el nivel de riesgo para la firma si no se controla una actividad o proceso específico de manera apropiada:
4.6.1.1. Probabilidad de ocurrencia
4.6.1.2. Rango de pérdidas en promedio
4.6.1.3. Pérdida anual esperada